Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el controlador de recursos compartidos públicos en el servidor ownCloud (CVE-2021-35947)
Fecha de publicación:
07/09/2021
Idioma:
Español
El controlador de recursos compartidos públicos en el servidor ownCloud versiones anteriores a 10.8.0, permite a un atacante remoto visualizar la ruta interna y el nombre de usuario de un recurso compartido público al incluir caracteres no válidos en la URL
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/09/2021

Vulnerabilidad en el controlador shareinfo en el servidor ownCloud (CVE-2021-35949)
Fecha de publicación:
07/09/2021
Idioma:
Español
El controlador shareinfo en el servidor ownCloud versiones anteriores a 10.8.0, permite a un atacante omitir las comprobaciones de permisos para los recursos compartidos sólo de carga y listar los metadatos sobre el recurso compartido
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/09/2021

Vulnerabilidad en remark-html (CVE-2021-39199)
Fecha de publicación:
07/09/2021
Idioma:
Español
remark-html es una librería nodejs de código abierto que compila Markdown a HTML. En las versiones afectadas, la documentación de remark-html mencionaba que era segura por defecto. En la práctica, nunca fue segura por defecto y había que optar por ella. Es decir, la entrada del usuario no era saneada. Esto significa que se puede pasar HTML arbitrario, conllevando a potenciales ataques de tipo XSS. El problema ha sido parcheado en las versiones 13.0.2 y 14.0.1: "remark-html" es ahora seguro por defecto, y la implementación coincide con la documentación. En versiones anteriores afectadas, pase "sanitize: true" si no puede actualizar
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/09/2021

Vulnerabilidad en el manejo de "Upload from URL" y archivos adjuntos en Misskey (CVE-2021-39195)
Fecha de publicación:
07/09/2021
Idioma:
Español
Misskey es una plataforma de microblogging descentralizada de código abierto. En las versiones afectadas se presenta una vulnerabilidad de tipo Server-Side Request Forgery en el manejo de "Upload from URL" y archivos adjuntos remotos. Esto podría resultar en una divulgación de información no pública dentro de la red interna. Esto es corregido en versión 12.90.0. Sin embargo, si esta usando un proxy, necesitará tomar medidas adicionales. Como solución alternativa, este problema puede ser evitado restringiendo apropiadamente el acceso a las redes privadas desde el host donde se ejecuta la aplicación
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/09/2021

Vulnerabilidad en la protección CSRF para las peticiones internas en better_errors (CVE-2021-39197)
Fecha de publicación:
07/09/2021
Idioma:
Español
better_errors es un reemplazo de código abierto para la página de error estándar de Rails con páginas de error más ricas en información. También puede ser usado fuera de Rails en cualquier aplicación Rack como middleware Rack. better_errors versiones anteriores a 2.8.0, no implementaba la protección CSRF para sus peticiones internas. Tampoco aplicaba la cabecera "Content-Type" correcta para estas peticiones, que permitía realizar una "petición simple" de origen cruzado sin protección CORS. Todo esto dejaba una aplicación con better_errors habilitado abierta a ataques de origen cruzado. Como herramienta para desarrolladores, la documentación de better_errors recomienda encarecidamente que se añada sólo al grupo de paquetes "development", por lo que esta vulnerabilidad sólo debería afectar a los entornos de desarrollo. Por favor, asegúrese de que su proyecto limita better_errors al grupo "development" (o su equivalente no Rails). A partir de la versión 2.8.x, se aplica la protección CSRF. Se recomienda actualizar a la última versión, o como mínimo a " versiones posteriores a 2.8.3". No se presentan soluciones conocidas para mitigar el riesgo de usar versiones anteriores de better_errors
Gravedad CVSS v3.1: ALTA
Última modificación:
14/09/2021

Vulnerabilidad en Barco MirrorOp Windows Sender (CVE-2021-38142)
Fecha de publicación:
07/09/2021
Idioma:
Español
Barco MirrorOp Windows Sender versiones anteriores a 2.5.3.65, usa HTTP en texto sin cifrar, y por lo tanto, permite actualizaciones de software fraudulentas. Un atacante en la red local puede lograr una ejecución de código remota en cualquier equipo que intente actualizar Windows Sender debido a que el mecanismo de actualización no es seguro (no está protegido con TLS)
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en Micro Focus Network Automation (CVE-2021-38123)
Fecha de publicación:
07/09/2021
Idioma:
Español
Una vulnerabilidad de redirección abierta en Micro Focus Network Automation, que afecta a las versiones 10.4x, 10.5x, 2018.05, 2018.11, 2019.05, 2020.02, 2020.08, 2020.11, 2021.05 de Network Automation. La vulnerabilidad podría permitir redirigir a usuarios a sitios web maliciosos después de la autenticación
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la API REST en Zoho ManageEngine ADSelfService Plus (CVE-2021-40539)
Fecha de publicación:
07/09/2021
Idioma:
Español
Zoho ManageEngine ADSelfService Plus versiones 6113 y anteriores, es vulnerable a una omisión de autenticación de la API REST con una ejecución de código remota resultante
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/11/2025

Vulnerabilidad en NTFS-3G (CVE-2021-39257)
Fecha de publicación:
07/09/2021
Idioma:
Español
Una imagen NTFS diseñada con un mapa de bits sin asignar puede conllevar a una cadena interminable de llamadas a funciones recursivas (empezando por ntfs_attr_pwrite), causando un consumo de la pila en NTFS-3G versiones anteriores a 2021.8.22
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/01/2023

Vulnerabilidad en la función ntfs_compressed_pwrite en NTFS-3G (CVE-2021-39261)
Fecha de publicación:
07/09/2021
Idioma:
Español
Una imagen NTFS diseñada puede causar un desbordamiento del búfer en la región heap de la memoria en la función ntfs_compressed_pwrite en NTFS-3G versiones anteriores a 2021.8.22
Gravedad CVSS v3.1: ALTA
Última modificación:
05/12/2025

Vulnerabilidad en la función ntfs_decompress en NTFS-3G (CVE-2021-39262)
Fecha de publicación:
07/09/2021
Idioma:
Español
Una imagen NTFS diseñada puede causar un acceso fuera de límites en la función ntfs_decompress en NTFS-3G versiones anteriores a 2021.8.22
Gravedad CVSS v3.1: ALTA
Última modificación:
02/12/2025

Vulnerabilidad en la función ntfs_get_attribute_value en NTFS-3G (CVE-2021-39263)
Fecha de publicación:
07/09/2021
Idioma:
Español
Una imagen NTFS diseñada puede desencadenar un desbordamiento del búfer basado en la pila, causado por un atributo no saneado en la función ntfs_get_attribute_value, en NTFS-3G versiones anteriores a 2021.8.22
Gravedad CVSS v3.1: ALTA
Última modificación:
02/12/2025
Suscribirse a Vulnerabilidades